1. Einleitung

Damit eine Übereinstimmung mit dem PSD2-Regelwerk gewährleistet ist, empfehlen wir, diese Funktionen nicht mehr zu nutzen.

Die selektive Anwendung der 3D-Sicherheitsfunktion war Teil des nun Schritt-für-Schritt überholten 3DSv1-Protokoll. Ursprünglich wurde diese Funktion eingeführt, damit Sie die Ausnahmeregelungen von 3-D Secure verwalten und so hohe Konversionsraten für Transaktionen mit minimalem Risiko gewährleisten können.

Mit der Einführung von PSD2 ist die neue 3-D Secure Version 2 verfügbar. Das ursprüngliche 3-D Secure wurde dadurch ersetzt. In dieser neuen Version werden eigene Ausnahmeregelungen von 3-D Secure definiert. Die selektive Anwendung der 3-D Secure-Funktion erfüllt diese Definitionen nicht.


Wir empfehlen dringend einen anderen Ansatz, um gleichzeitig PSD2-Anforderungen zu erfüllen und diese Ausnahmeregelungen verwalten zu können. In den entsprechenden Kapiteln zu 3-D Secure für Gehostete Zahlungsseite/DirectLink finden Sie weitere Informationen.

3-D Secure (auch als sichere 3D-Authentifizierung oder 3DS bezeichnet) ist ein Betrugspräventionsprotokoll, das die Identifizierung des Karteninhabers durch Anforderung einer Online-Authentifizierung ermöglicht. Leider kann 3DS nicht nur den Zahlungsprozess für Ihre Kunden erschweren, sondern auch einen erfolgreichen Abschluss gültiger und ehrlicher Transaktionen an der Kasse verhindern.

Glücklicherweise können Sie den selektiven Einsatz von Selektive Verwendung von 3-D Secure, um:

  • Mit weiteren Worldline Anti-Betrugsmodulen zu kombinieren.
  • Die perfekte Balance zwischen Betrugsschutz und Aufrechterhaltung eines reibungslosen Kassenerlebnisses für Ihre Kunden finden.
  • 3-D Secure für Transaktionen mit geringen Beträgen zu deaktivieren.

Sie benötigen ein aktives Fraud Expert Scoring oder ein Fraud Expert Checklist Abonnement, um diesen Service zu nutzen. Wenn Sie kein Abonnement besitzen, setzen Sie sich mit einem Mitarbeiter von Worldline in Verbindung.

2. Bevor wir beginnen

Das Selective use of 3-D Secure Tool muss in Verbindung mit einem der folgenden Fraud Detection-Module erfolgen:

Diese Anleitung führt Sie durch die Deaktivierung von 3-D Secure (3DS) für Transaktionen, die durch FDMAs oder FDMAc als risikoarm eingestuft werden.

Stellen Sie zu Beginn sicher, dass Ihr FDMAc- oder FDMAs-Abonnement aktiviert ist. Sie können dies tun, indem Sie in Ihrem Konto auf Configuration > Account > Your options gehen.  Wenn es nicht aktiviert wurde, setzen Sie sich bitte mit unserem support team in Verbindung. 

3. 3DS-Einstellungen verwalten

Sobald Ihr Betrugsabonnement aktiv ist, können wir nun Ihre 3DS-Einstellungen konfigurieren.

Configure 3DS settings

Klicken Sie auf Advanced > Fraud Detection. 3DS muss für jede Zahlungsmethode individuell konfiguriert werden. Wählen Sie unter 3-D Secure durch Klicken auf EDIT eine Zahlungsmethode aus. Jede dieser Einstellungen setzt die 3D-Secure-Voreinstellung außer Kraft, die Sie mit CAP1 oder CAP2 konfiguriert haben (d. h. eine Force Review-Regel wird ignoriert).

Die nachstehende Tabelle gibt Ihnen eine Anleitung über mögliche Einstellungen, die Sie konfigurieren können.

Beschrijving van instellingen Verklaring
3-D Secure für die folgende BIN deaktivieren Die ersten sechs Ziffern einer Kreditkarte
3-D Secure deaktivieren, wenn der Transaktionsbetrag unter x EUR liegt Liegt eine Transaktion unter einem bestimmten Betrag, wird 3DS nicht ausgelöst
Deaktivieren Sie 3-D Secure für das folgende Kartenland Nur für Visa/MasterCard/American Express/Diners verfügbar
Deaktivieren Sie 3-D Secure für das folgende IP-Land
3-D Secure deaktivieren, wenn globale Betrugseinstufung rot ist Nur verfügbar, wenn Sie Checklist oder Scoring und Fraud Expert verwenden
3-D Secure deaktivieren, wenn globale Betrugseinstufung grün ist Nur verfügbar, wenn Sie Checklist oder Scoring und Fraud Expert verwenden

Selective use of 3DS

Fügen Sie Elemente hinzu, indem Sie einen bestimmten Wert in die Eingabefelder eingeben oder ein Element aus dem Dropdown-Menü auswählen. Entfernen Sie Elemente, indem Sie Löschen markieren. Bestätigen Sie eine Ihre Aktionen, indem Sie auf SUBMIT klicken.

Hinweis: Bei Verwendung dieser Einstellungen profitieren Sie im Falle von Rückbuchungen möglicherweise nicht von der bedingten Zahlungsgarantie. Kontaktieren Sie Ihren Käufer für weitere Informationen.

Wenn Sie mehr als eine Einstellung konfiguriert haben, wird 3DS deaktiviert, auch wenn nur eine Bedingung erfüllt ist. Wenden Sie sich bitte an unsere Betrugsexperten, wenn Sie mit mehreren Bedingungen arbeiten möchten.

Häufig gestellte Fragen

3DS v2

Ab 1. Januar 2021 in der EU und ab 14. September 2021 im Vereinigten Königreich treten die Regeln der Strong Customer Authentication (SCA) für alle digitalen Zahlungen in Europa in Kraft. Im Augenblick arbeiten Banken, Zahlungsdienstleister und Kartennetze an technischen Lösungen, die den Anforderungen von PSD2 entsprechen. Damit Sie Zahlungen nach dem 1. Januar akzeptieren können, müssen Sie sicherstellen, dass diese technischen Lösungen mit Ihrem Online-Shop funktionieren. 

Zur Akzeptanz von Zahlungen aus den weltweit größten Kartennetzwerken Visa, Mastercard und Amex ist es erforderlich, dass Sie die Sicherheitslösung 3D Secure für Ihren Online-Shop umgesetzt haben. 3D Secure wird seit 2001 zur Verbesserung der Sicherheit bei Online-Kartentransaktionen eingesetzt. Jetzt wurde aber eine neue Version entwickelt, mit der die Anforderungen der PSD2 Strong Customer Authentication erfüllt werden.

Worldline empfiehlt die Verwendung von 3-D Secure, da es hilft, Betrug zu verhindern und Sie auch vor der Haftung bei einem Betrug schützt. Ab dem 1. Januar 2021 ist es auch eine Voraussetzung für die Annahme der Zahlungen mit den wichtigsten Karten.

Die Zweite EU-Richtlinie über Zahlungsdienste (2015/2366 PSD2) trat im Januar 2018 in Kraft und hat zum Ziel, den Verbraucherschutz bei allen Zahlungsarten zu gewährleisten und eine noch offenere, wettbewerbsfähigere Zahlungslandschaft zu fördern. Als Zahlungsdienstleister ist Worldline stolz darauf, seit dem 29. Mai 2018 als PSD2-konform bestätigt worden zu sein. 

Eine der Hauptanforderungen von PSD2 betrifft die Strong Customer Authentication (SCA), die ab 1. Januar 2021 in der EU und ab 14. September 2021 im Vereinigten Königreich für alle elektronischen Transaktionen in der EU erforderlich ist. SCA verlangt von den Karteninhabern, sich mit mindestens ZWEI der folgenden drei Methoden zu authentifizieren: 

  • Etwas, das sie kennen (PIN, Passwort…) 
  • Etwas, das sie besitzen (Kartenleser, Mobiltelefon…) 
  • Etwas, das sie sind (Stimmenerkennung, Fingerabdruck… 


Das bedeutet, dass Ihre Kunden in der Praxis keine Kartenzahlung mehr online durchführen können, indem sie nur die Informationen auf ihren Karten verwenden. Sie müssen stattdessen beispielsweise ihre Identität mittels einer Bank-App verifizieren, die mit ihrem Mobiltelefon verbunden ist und zur Genehmigung des Kaufs ein Passwort oder einen Fingerabdruck benötigt. 

Weitere Informationen über PSD2 finden Sie hier: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf

3DSv2 fordert Händlerinnen/Händler dazu auf, zusätzliche Daten (obligatorische / empfohlene etc.) zu erfassen. Auf der folgenden Seite finden Sie alles, was Sie als Händlerin/Händler hierzu wissen müssen:

https://ingenico.be/privacy-policy  Kapitel 3

COF in Kürze: Der Kunde leitet eine erste Transaktion mit einem Händler mit 3D-S (CIT) ein. Aus dieser ersten Transaktionserfahrung heraus kann der Händler wiederkehrende Transaktionen (Abonnement oder mit Zustimmung des Kunden -> Tokenisierung) durchzuführen. Diese sind als MIT-Transaktionen gekennzeichnet.

MIT sind eine der im 3DSv2 vorgesehenen Ausnahmen, wenn sie die folgenden kumulativen Bedingungen erfüllen:

  • nachfolgende Transaktionen eines anfänglichen CIT 
  • CIT wurde mit einer obligatorischen Authentifizierung durchgeführt
  • Eine dynamische ID-Verknüpfung wird zwischen der anfänglichen CIT und den nachfolgenden MITs hergestellt

Nach der ersten Authentifizierung können die folgenden Ausnahmen/Ausschlüsse gelten:

  • Entweder wegen gesetzlich wiederkehrender Ausnahmen, die für Abonnements mit einem festen Betrag und einer festen Periodizität gelten (Händlern wird in der Tat empfohlen, sich für den vollen Betrag zu authentifizieren und Angaben zur Anzahl der vereinbarten Zahlungen mit Karteninhabern zu machen).
  • Entweder, weil andere Arten von Transaktionen vom Geltungsbereich von SCA ausgeschlossen sind... Auf alleiniges Risiko des Händlers im Falle einer Rückbuchung (Schutz auf den authentifizierten Betrag beschränkt) UND die Verpflichtung des Emittenten, dieses Risiko einzugehen:
    • Außerplanmäßiger COF: Das Prinzip der nachfolgenden Transaktionen wird mit dem Karteninhaber vereinbart, aber Betrag und/oder Periodizität sind nicht festgelegt
    • Branchenpraktiken: inkrementell, No-show, etc...

Für die Übergangszeit haben die Schemata eine Standard-ID definiert. Sie soll für nachfolgende MITs verwendet werden, die vor der Einführung von 3DS v2 erstellt wurden.

Da die kartenherausgebenden Banken uns noch keine zuverlässigen Daten zur Verfügung gestellt haben, haben wir keine Informationen darüber. MasterCard führt derzeit Umfragen in Europa durch, aber die Ergebnisse können je nach Land sehr stark variieren.  Dieser Zustand entwickelt sich bis September weiter. Im Januar 2019 hatten nur 2/3 der Herausgeber die EMVCo v2.1-Zertifizierung abgeschlossen und in dieser Liste der Herausgeber schwankte die Unterstützung von Ausnahmeregelungen von 80% (wiederkehrend) bis 50% (White Listing).

Wenn Sie unsere Worldline Zahlungsseite nutzen, wird sich Worldline um alle obligatorischen Parameter kümmern. 

Wenn Sie Ihre Integration über DirectLink vorgenommen haben, d.h. Sie verfügen über eine eigene Zahlungsseite, können Sie unseren JavaScript-Code von unserer Support-Seite nutzen, um diese Daten zu erfassen. 

Für die Erfassung von optionalen Daten konsultieren Sie bitte unsere Support-Seite zum Thema Worldline.

Sofern die Authentifizierung kein obligatorischer Schritt ist (z. B. bei einer Kartenregistrierung oder einer ersten Transaktion einer Reihe von wiederkehrenden Transaktionen), können die Herausgeber entscheiden, die Authentifizierung weiterzugeben. Bei einem solchen Szenario haftet der Herausgeber im Falle einer Rückbuchung.
Kartenwert hinzufügen bezieht sich darauf, dass ein Wallet-Anbieter das 3DS-Protokoll verwendet, um eine Karte zu seiner Wallet hinzuzufügen. Das wird vom jeweiligen Wallet-Anbieter durchgeführt.

Die Secure Version 2 ist eine Weiterentwicklung des bisherigen Programmes der 3-D Secure Version 1: Verifiziert durch Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy und JCB J/Secure. Sie basiert auf einer Spezifikation, die von EMVco entwickelt wurde. EMVCo gibt es, um die weltweite Interoperabilität und Akzeptanz sicherer Zahlungsvorgänge zu erleichtern. Sie wird von den sechs EMVCo-Mitgliedsorganisationen American Express, Discover, JCB, Mastercard, UnionPay und Visa überwacht und von Dutzenden von Banken, Händlern, Verarbeitern, Verkäufern und anderen Branchenbeteiligten unterstützt, die als EMVCo Associates teilnehmen. 

Einer der wesentlichen Unterschiede in der Version 2 besteht darin, dass der Aussteller viele Datenpunkte aus der Transaktion nutzen kann, um das Transaktionsrisiko zu bestimmen (risikobasierte Analyse). Bei risikoarmen Transaktionen stellen die Aussteller die Transaktion nicht in Frage (z. B. kein Senden einer SMS an den Karteninhaber), obwohl sie die Transaktion (reibungslos) authentifizieren. Umgekehrt verlangen die Aussteller bei Transaktionen mit hohem Risiko, dass sich der Karteninhaber mit einer SMS oder biometrischen Mitteln authentifiziert (Infragestellung). 

Unabhängig davon führt die ab 1. Januar 2021 in der EU und ab 14. September 2021 geforderte Strong Customer Authentication (SCA), wie in PSD2 spezifiziert, zu einem erheblichen Anstieg der Transaktionszahlen, die den Einsatz von 3-D Secure Authentifizierung erfordern. Der Einsatz der Version 2 von 3-D Secure sollte die möglichen negativen Auswirkungen auf die Umstellung so weit wie möglich beschränken. Kurz gesagt bedeutet die Version 2 von 3-D Secure: 

  • Sie müssen 3-D Secure vor dem 1. Januar 2021 implementieren, wenn Ihre Transaktionen unter die EU-Richtlinien PSD2 SCA fallen (wenn Sie 3-D Secure nicht bereits unterstützen). 
  • Wir empfehlen Ihnen (und es ist teilweise erforderlich), zusätzliche Datenpunkte zur Unterstützung der vom Aussteller durchgeführten Risikobewertung bei der Version 2 von 3-D Secure einzureichen.
  • Möglicherweise müssen Sie Ihre Datenschutzerklärung hinsichtlich der DSGVO aktualisieren, da Sie möglicherweise zusätzliche Datenpunkte mit Dritten teilen. 
  • Eine viel bessere Nutzererfahrung für Ihre Kunden

Die Erwartung am Markt besteht darin, dass ein erheblicher Prozentsatz der Transaktionen mit der Version 2 von 3-D Secure reibungslos abläuft, was im Vergleich zu den aktuellen Non-3-D Secure Bezahlungen nichts Zusätzliches vom Karteninhaber erfordert. Das bedeutet, dass Sie von der erhöhten Sicherheits- und Haftungsverlagerung durch die 3-D Secure-Programme profitieren, während die Umstellung in Ihrem Bezahlprozess nicht negativ beeinflusst werden sollte.

Diese Situation ist nur möglich, wenn Sie nur über DirectLink (Merchant own page/FlexCheckOut) eingebunden sind, da Worldline auf der gehosteten Zahlungsseite Worldline die obligatorischen Daten sammelt.

Zuallererst identifiziert Worldline den Fluss, der basierend auf den Kartennummern zu v1 oder v2 geleitet werden soll.

Wenn die Karte in V2 registriert ist, gibt es die folgenden möglichen Szenarien:

Pflichtdaten:

  • Wenn die falschen Daten übermittelt werden, wird die Transaktion blockiert
  • Wenn einige Daten fehlen, leitet Worldline Ihre Transaktion an Fluss v1 weiter.
  • Wenn keine Daten übermittelt werden, wird die Transaktion NICHT blockiert, sondern an Fluss v1 umgeleitet.
Empfohlene oder optionale Daten:
  • Wenn keine Daten übermittelt werden, wird die Transaktion NICHT blockiert, kann jedoch nicht von der Ausnahme profitieren.
Da dies durch die Bereitschaft der Erwerber bestimmt wird, hängt die Verfügbarkeit von 3DSv2 vom einzelnen Erwerber ab. 
Die meisten französischen Erwerber unterstützen bis zum 14. September 2019 eine Starke Kundenauthentifizierung, aber keine Ausnahmen. Die Einführung von Ausnahmen steht den einzelnen Erwerbern zwischen Oktober 2019 und März 2020 zur Verfügung.

Zur Vereinfachung für Händler und Verbraucher ermöglicht PSD2 einige Ausnahmen von der Strong Customer Authentication. Wichtig ist, ist das alle Transaktionen, die zu einer Freistellung berechtigen, nicht automatisch freigestellt werden. Bei Kartentransaktionen entscheidet beispielsweise die kartenausgebende Bank, ob eine Freistellung genehmigt wird oder nicht. Selbst wenn eine Transaktion für eine Freistellung berechtigt ist, muss der Kunde also möglicherweise noch eine Strong Customer Authentication durchführen, wenn die kartenausgebende Bank diese verlangt. 

Auf unserer Test-Plattform sind alle Vorkehrungen getroffen worden. Wir nutzen einen Simulator, um die verschiedenen Szenarios nachzustellen.

Wir stellen Test-Kreditkarten zur Verfügung, welche Sie sowohl auf unserer Support -Seite als auch in der Test-Umgebung finden können (Konfiguration > Technische Informationen > Test-Info).

Treten Sie bitte mit uns in  Verbindung, wenn Sie 3-D Secure Version 2 (3DSv2) in der Produktivumgebung nutzen wollen.

Ihr PCI-Zertifikat ist für ein Jahr gültig und wird von jedem Acquirer akzeptiert.

We are in a process of certification for 3DSv2.2 and it will be in production in Q4 2020.

Zusammen mit der Veröffentlichung der Plattform im Juli haben wir unsere Details zur Transaktionsübersicht verbessert. Einzelne zugängliche Transaktionen enthalten nun detaillierte Angaben darüber, welcher Flow (Legacy 3DS v1 oder 3Dsv2) angewendet wurde. Weitere Informationen finden Sie in unseren Hinweisen zu Release 04.133 im Backoffice über Support > Platform Releases > Release 04.133.


Zudem haben wir den neuen Parameter VERSION_3DS zu unserem Reporting-Tool hinzugefügt. 

Die möglichen Werte für VERSION_3DS sind

V1 (für 3DS v1)
V2C (für 3DS v2 Problematischer Fluss)
V2F (für 3DS v2 Reibungsloser Fluss) 

Um diesen Parameter zu Ihren Transaktionsdatei-Downloads hinzuzufügen, gehen Sie wie in diesem Video gezeigt vor:

Ausschlüsse sind Transaktionen, die AUSSERHALB des Anwendungsbereichs der PSD2 SCA-Vorschriften liegen: 
  • Bestellung per E-Mail/telefonische Bestellung 
  • One leg journey - Der PSP (der Acquirer) des/der Zahlungsempfängers/Zahlungsempfängin oder der PSP (die Hausbank) des/der Zahlenden befindet sich außerhalb des EWR 
  • Übertragbare Prepaid-Karten mit Guthaben von bis zu 150€ (Artikel 63)
  • MIT - vom Händler initiierte Transaktionen 
Freistellungen sind Transaktionen, die INNERHALB des Anwendungsbereichs der PSD2 SCA-Vorschriften liegen: 
  • Transaktionen von geringem Wert 
  • Abonnements 
  • Risikoanalyse 
  • Whitelisting
In einem solchen Fall wird Worldline automatisch 3-D Secure v1 ausrollen.

Die EBA (European Banking Authority) und nationalen Banken in jedem betroffenen Land haben sich auf eine Übergangsfrist (bis spätestens März 2020) geeinigt. Dadurch erhält jeder eCommerce-Teilnehmer die Möglichkeit, alle Details zu dieser neuen Verordnung zu klären. Wir empfehlen jedoch dringend, so bald wie möglich 3DS in Ihrem Konto/Ihren Konten zu aktivieren.

Da unsere TEST-Umgebung bereit ist, empfehlen wir Ihnen, so schnell wie möglich mit dem Testen Ihrer Integration zu beginnen.

Klicken Sie hier, wenn Sie die eCommerce-Seite verwenden. Wenn Sie Ihre eigene Seite verwenden, klicken Sie hier.

Wenn der Herausgeber einen neuen PSD2-Regelsatz anwendet und 3DS auf dem Konto des/der Händlers/In nicht aktiv ist, wird die Transaktion abgelehnt. Achten Sie deshalb darauf, dass 3DS für jede Marke in Ihrem/n Konto(en) aktiv ist.

Da 3DSv2 eine reibungslose Authentifizierung einführt, kann die Zeit für die Bearbeitung einer Transaktion verkürzt sein. Umgekehrt kann die Bearbeitungszeit länger sein, wenn eine Starke Kundenauthentifizierung angefordert wird.